Esta página foi traduzida pela API Cloud Translation.

Configurar o VPC Service Controls

Nesta página, apresentamos uma visão geral do VPC Service Controls, um Google Cloud recurso que se integra ao AlloyDB para proteger dados e recursos.

O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados das instâncias do AlloyDB. É possível usar o VPC Service Controls para criar perímetros de serviço que protejam os recursos e os dados de serviços especificados explicitamente.

Para uma visão geral do VPC Service Controls, dos benefícios de segurança e dos recursos dele em todos os produtos do Google Cloud , consulte Visão geral do VPC Service Controls.

Antes de começar

No console Google Cloud , acesse a página Seletor de projetos.

Acessar o seletor de projetos
Selecione ou crie um Google Cloud projeto.
Observação:se você não pretende manter os recursos criados neste procedimento, crie um projeto novo em vez de selecionar um que já existe. Depois de concluir essas etapas, exclua o projeto removendo todos os recursos associados a ele.
Verifique se o faturamento foi ativado para o projeto Google Cloud . Saiba como verificar se o faturamento está ativado em um projeto.
Ative a API Compute Engine.
Ativar a Compute Engine API
Ative a API Service Networking.
Ative a API Service Networking
Adicione os papéis do Identity and Access Management (IAM) à conta de usuário ou de serviço que você está usando para configurar e administrar o VPC Service Controls. Para mais informações, consulte Papéis do IAM para administrar o VPC Service Controls.
Analise as limitações ao usar o VPC Service Controls com o AlloyDB.

Como proteger o serviço do AlloyDB usando o VPC Service Controls

Antes de começar, leia a Visão geral do VPC Service Controls e as limitações do AlloyDB ao usar o VPC Service Controls.

A configuração do VPC Service Controls para um projeto do AlloyDB inclui as seguintes etapas:

Criar e gerenciar um perímetro de serviço.

Primeiro, selecione o projeto do AlloyDB que você quer que o perímetro de serviço da VPC proteja. Depois, crie e gerencie o perímetro de serviço.
Criar e gerenciar níveis de acesso.

Opcionalmente, para permitir o acesso externo a recursos protegidos dentro de um perímetro, use níveis de acesso. Os níveis de acesso são aplicados somente às solicitações de recursos protegidos de fora do perímetro de serviço. Não é possível usar níveis de acesso para conceder a recursos protegidos ou VMs permissão para acessar dados e serviços fora do perímetro.

Criar e gerenciar um perímetro de serviço

Para criar e gerenciar um perímetro de serviço, siga estas etapas:

Selecione o projeto do AlloyDB que você quer que o perímetro de serviço da VPC proteja.
Siga as instruções em Como criar um perímetro de serviço.
Adicione mais instâncias ao perímetro de serviço. Para adicionar instâncias do AlloyDB ao perímetro, siga as instruções em Como atualizar um perímetro de serviço.
Adicione APIs ao perímetro de serviço. Para reduzir o risco de seus dados serem exfiltrados do AlloyDB, restrinja a API AlloyDB, API Compute Engine, API Cloud Storage, API Container Registry, API Certificate Authority Service e API Cloud KMS. Para mais informações, consulte access-context-manager perimeters update.

Para adicionar APIs como serviços restritos:
Console
1. No console Google Cloud , acesse a página VPC Service Controls.
  Acessar o VPC Service Controls
2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
3. Clique em Editar.
4. Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
5. Adicione a API AlloyDB, a API Compute Engine, a API Cloud Storage, a API Container Registry, a API Certificate Authority Service e a API Cloud KMS.
6. Clique em Salvar.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
- POLICY_ID: o ID da política de acesso.
Se você ativou os insights de consulta avançados, adicione a API databaseinsights.googleapis.com ao perímetro de serviço como um serviço restrito:
Console
1. No console Google Cloud , acesse a página VPC Service Controls.
  Acessar o VPC Service Controls
2. Na página VPC Service Controls, na tabela, clique no nome do perímetro de serviço que você quer modificar.
3. Clique em Editar.
4. Na página Editar perímetro de serviço da VPC, clique em Adicionar serviços.
5. Adicione databaseinsights.googleapis.com.
6. Clique em Salvar.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: o ID do perímetro ou o identificador totalmente qualificado do perímetro.
- POLICY_ID: o ID da política de acesso.

Criar e gerenciar níveis de acesso

Para criar e gerenciar níveis de acesso, siga as instruções em Como permitir o acesso a recursos protegidos de fora de um perímetro.